Sicherheit geht vor
Fast 30.000 Unternehmen sollen kritische Infrastruktur besser absichern
Aktivisten, die sich auf Startbahnen festkleben, IT-Erpresser, die Krankenhäuser lahmlegen und Taucher, die Pipelines sprengen: Die Bundesregierung will kritische Infrastruktur besser schützen. Auch IT-Firmen müssen sich auf neue Regeln einstellen. Wenn sie diese missachten, drohen hohe Geldbußen bis hin zur Entmachtung ihrer Geschäftsleitung.
Die Bundesregierung hat mit dem NIS2-Umsetzungsgesetz und dem KRITIS-Dachgesetz zwei Entwürfe vorgelegt, die die gesetzlichen Anforderungen zum Schutz kritischer Infrastruktur (KRITIS) deutlich ausweiten und verschärfen. Mit dem NIS2-Umsetzungsgesetz folgt die Regierung der Ende 2022 überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie der EU. Von ihm betroffen sind laut Referentenentwurf rund 29.000 Unternehmen und Bundeseinrichtungen, die systemrelevante Beiträge zur Infrastruktur und Versorgung der Bevölkerung leisten.
Das neue Dachgesetz gilt hingegen nur für etwa 3000 Firmen, die in Deutschland bislang KRITIS-Vorgaben im Bereich der Cybersicherheit beachten müssen. Das sind Unternehmen, deren Einrichtungen mehr als eine halbe Million Menschen versorgen – sei es direkt oder indirekt, weil sie etwa an Schlüsselstellen für bestimmte Wirtschaftszweige oder Lieferketten sitzen. Das Dachgesetz umfasst ergänzend zur IT-Sicherheit auch die physische Sicherheit der Anlagen und setzt die ebenfalls 2022 verabschiedete EU-Richtlinie über kritische Einrichtungen (CER) um. Die betroffenen Unternehmen müssen sich beiden Gesetzen zufolge künftig intensiver um Schutzmaßnahmen, Resilienzpläne und Meldepflichten kümmern. Bei Verstößen drohen hohe Strafen: Wer beispielsweise bei der Cybersicherheit schlampt und sich dabei erwischen lässt, soll bis zu 1,2 Prozent seines Vorjahresumsatzes als Strafe zahlen.
Die Kontrolle übernehmen zwei Behörden: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht die Umsetzungen der IT-Sicherheitsvorgaben. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) prüft, ob die Firmen den Anforderungen an den physischen Schutz genügen. Meldungen sollen künftig an beide Stellen gleichzeitig gehen. Das BSI soll zudem vor dem Einsatz problematischer Produkte und Komponenten warnen.
Schutzzäune und Ausfallpläne
Welche Auflagen die Betreiber erfüllen müssen, hängt vom jeweiligen Sektor ab. Bereits eine einzelne Anlage kann als kritische Infrastruktur gelten, wenn sie für das Funktionieren eines wichtigen Wirtschaftszweigs relevant ist – beispielsweise ein Kraftwerk oder eine Raffinerie. Bei der Beurteilung spielen branchenspezifische Standards und der Stand der Technik die maßgebliche Rolle. Wo solche Standards fehlen, will die Regierung neue Vorgaben entwickeln. Zur Verantwortung für deren Umsetzung zieht das Gesetz die Geschäftsführung. Hält sie sich bei der Cybersicherheit nicht an die Vorgaben, darf das BSI ihr Anweisungen geben oder sie sogar temporär von der Aufgabe entbinden und ersatzweise tätig werden.
Auch bei der physischen Sicherheit müssen die Unternehmen und Bundeseinrichtungen künftig Mindeststandards einhalten. Die Sicherheitskonzepte reichen von Sensoren und Kameras über Schutzzäune und Notstromversorgung bis hin zu Ausfallplänen. Sie sollen dafür sorgen, dass kritische Dienstleistungen auch bei kurzzeitigen Ausfällen weiterhin abgedeckt sind. Typisch für ein solches Redundanzkonzept wäre etwa eine Vereinbarung zwischen zwei Müllentsorgern, die einander gegenseitig den Notbetrieb garantieren. Im Krisenfall sollen Ausfallzeiten so kurz wie möglich gehalten werden.
Unklar ist noch, was die Regierung bei den sogenannten kritischen Komponenten, beispielsweise für 5G-Netze plant. Der Entwurf für das KRITIS-Dachgesetz schweigt sich dazu noch aus. Im Entwurf für das NIS2-Umsetzungsgesetz findet man bislang nur die bereits bekannten Regelungen aus dem BSI-Gesetz, darunter die sogenannte Chinaklausel für den Mobilfunkbetrieb. Mit ihr kann das Bundesinnenministerium den Einsatz bestimmter Komponenten untersagen, wenn es begründete Sicherheitsbedenken hat.
Strammer Zeitplan
Das Bundeskabinett will in den kommenden Wochen beraten, wie Abhängigkeiten, Datenabflüsse oder Manipulationen besser verhindert werden können. In Regierungskreisen heißt es dazu, dass wahrscheinlich auch der Energiesektor und Clouddienstleister unter die neuen Regelungen fallen.
Die Entwürfe für die beiden neuen Gesetze sollen im Herbst in den Bundestag gehen. Bis dahin sind noch viele Details zu klären. Nach EU-Vorgaben muss das NIS2-Umsetzungsgesetz bis spätestens Oktober 2024 in Kraft treten. Das KRITIS-Dachgesetz soll ab Anfang 2026 gelten. Für die betroffenen Firmen bleibt also wenig Zeit, sich auf die noch zu konkretisierenden Vorgaben einzustellen. (hag@ct.de)